base 镜像有两层含义:
-
不依赖其他镜像,从 scratch 构建。
-
其他镜像可以之为基础进行扩展。
所以,能称作 base 镜像的通常都是各种 Linux 发行版的 Docker 镜像,比如 Ubuntu, Debian, CentOS 等
Linux 操作系统由内核空间和用户空间组成。如下图所示
rootfs
内核空间是 kernel,Linux 刚启动时会加载 bootfs 文件系统,之后 bootfs 会被卸载掉。
用户空间的文件系统是 rootfs,包含我们熟悉的 /dev, /proc, /bin 等目录。
对于 base 镜像来说,底层直接用 Host 的 kernel,自己只需要提供 rootfs 就行了。
base 镜像提供的是最小安装的 Linux 发行版
[root@localhost ~]# vi Dockerfile
From scratch
ADD centos-7-docker.tar.xz /
CMD ["/bin/bash"]1、From 是用来引用父级镜像的,原始镜像为:scratch,docker的镜像库结构为层级形式的结构,可以理解为树形图
2、ADD centos-7-docker.tar.xz / 这句字面意思, ADD 这个文件到 / 目录下,那么问题是,没有解压过程,因为在
docker中 ADD 命令包括2个功能 ,1:增加文件,2,解压文件,所以过程中就不再需要解压了
3、CMD ["/bin/bash"] 这句话是用来执行命令的,比如我要做的某件事,这里要注意,CMD是一个Dockerfile中只能有一条CMD命令,多条则只执行最后一条CMD,所以使用时注意
[root@localhost ~]# docker build --rm -t centos:7 .
Sending build context to Docker daemon 262.6 MB
Step 1/3 : FROM scratch
--->
Step 2/3 : ADD centos-7-docker.tar.xz /
---> fc439cd0cffd
Removing intermediate container a830a50b9824
Step 3/3 : CMD /bin/bash
---> Running in 3394891cdbe0
---> 44c91c4b70a4
Removing intermediate container 3394891cdbe0
Successfully built 44c91c4b70a4
[root@localhost ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
centos 7 44c91c4b70a4 13 seconds ago 202 MB最后的编译: docker build --rm -t centos:7 .
如果编译好了,就可以使用 docker images 命令查看镜像库中是否存在 centos 7 的镜像了。
创建 Docker 容器:docker run -d --name=centos centos:7
-d: 后台运行
--name: 容器名称
centos:7 镜像文件:版本号 如果在构建时没有标识版本号,那么会默认为 latest
base 镜像只是在用户空间与发行版一致,kernel 版本与发型版是不同的。
例如 CentOS 7 使用 3.x.x 的 kernel,如果 Docker Host 是 Ubuntu 16.04(比如我们的实验环境),那么在 CentOS 容器中使用的实际是是 Host 4.x.x 的 kernel。
容器只能使用 Host 的 kernel,并且不能修改。所有容器都共用 host 的 kernel,在容器中没办法对 kernel 升级。如果容器对 kernel 版本有要求(比如应用只能在某个 kernel 版本下运行),则不建议用容器,这种场景虚拟机可能更合适。
① 新镜像不再是从 scratch 开始,而是直接在 Debian base 镜像上构建。
② 安装 emacs 编辑器。
③ 安装 apache2。
④ 容器启动时运行 bash。
构建过程如下图所示:
Docker 镜像要采用这种分层结构好处就是共享资源
如果多个容器共享一份基础镜像,当某个容器修改了基础镜像的内容,比如 /etc 下的文件,这时其他容器的 /etc 是否也会被修改?
答案是不会!
修改会被限制在单个容器内。
这就是我们接下来要学习的容器 Copy-on-Write 特性。
可写的容器层
当容器启动时,一个新的可写层被加载到镜像的顶部。
这一层通常被称作“容器层”,“容器层”之下的都叫“镜像层”。
所有对容器的改动 - 无论添加、删除、还是修改文件都只会发生在容器层中。
只有容器层是可写的,容器层下面的所有镜像层都是只读的。
下面我们深入讨论容器层的细节。
镜像层数量可能会很多,所有镜像层会联合在一起组成一个统一的文件系统。如果不同层中有一个相同路径的文件,比如 /a,上层的 /a 会覆盖下层的 /a,也就是说用户只能访问到上层中的文件 /a。在容器层中,用户看到的是一个叠加之后的文件系统。
-
添加文件
在容器中创建文件时,新文件被添加到容器层中。 -
读取文件
在容器中读取某个文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,打开并读入内存。 -
修改文件
在容器中修改已存在的文件时,Docker 会从上往下依次在各镜像层中查找此文件。一旦找到,立即将其复制到容器层,然后修改之。 -
删除文件
在容器中删除文件时,Docker 也是从上往下依次在镜像层中查找此文件。找到后,会在容器层中记录下此删除操作。
只有当需要修改时才复制一份数据,这种特性被称作 Copy-on-Write。可见,容器层保存的是镜像变化的部分,不会对镜像本身进行任何修改。
这样就解释了我们前面提出的问题:容器层记录对镜像的修改,所有镜像层都是只读的,不会被容器修改,所以镜像可以被多个容器共享。
